3月14日��,騰訊云推出私有網(wǎng)絡(luò)VPC三大獨(dú)家功能:彈性網(wǎng)卡���、廣播&組播����、專線NAT網(wǎng)關(guān)。上述三項(xiàng)功能均為騰訊云自主研發(fā)�,取得多項(xiàng)技術(shù)突破:彈性網(wǎng)卡作為云主機(jī)網(wǎng)絡(luò)能力的一項(xiàng)重大突破,真正助力金融政企客戶實(shí)現(xiàn)內(nèi)網(wǎng)�、外網(wǎng)、傳輸網(wǎng)的三網(wǎng)隔離�;廣播&組播極大提升私有網(wǎng)絡(luò)中的多點(diǎn)投遞效率。而專線NAT網(wǎng)關(guān)解決了服務(wù)專線互聯(lián)中的IP沖突�、內(nèi)網(wǎng)IP屏蔽等痛點(diǎn)問題。
3項(xiàng)獨(dú)家功能在安全和靈活性上開創(chuàng)了全新的行業(yè)標(biāo)準(zhǔn)�����,進(jìn)一步豐富騰訊云私有網(wǎng)絡(luò)的軟件定義網(wǎng)絡(luò)����、NAT網(wǎng)關(guān)、跨地域互聯(lián)等核心功能矩陣���,標(biāo)志騰訊云成為國內(nèi)私有網(wǎng)絡(luò)技術(shù)最為領(lǐng)先的云服務(wù)商�。
使用彈性網(wǎng)卡的云主機(jī)
更靈活更安全
騰訊云在私有網(wǎng)絡(luò)云主機(jī)上率先推出的彈性網(wǎng)卡服務(wù),可提供多網(wǎng)卡綁定��、網(wǎng)卡靈活遷移����、單網(wǎng)卡多IP綁定、網(wǎng)卡獨(dú)立路由轉(zhuǎn)發(fā)等4大領(lǐng)先服務(wù)���,最多支持綁定8個(gè)網(wǎng)卡���、30個(gè)內(nèi)網(wǎng)IP。
企業(yè)可使用該功能實(shí)現(xiàn)更加安全�����、靈活的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)�����。簡單來說��,使用彈性網(wǎng)卡的企業(yè)一方面可以利用多網(wǎng)卡搭建內(nèi)網(wǎng)�����、外網(wǎng)�、傳輸網(wǎng)三網(wǎng)隔離的網(wǎng)絡(luò)解決方案,一方面可以利用云主機(jī)彈性網(wǎng)卡靈活遷移能力�,搭建基于keepalived主備容災(zāi)的高可用組件。
使用彈性網(wǎng)卡的云主機(jī)與普通云主機(jī)相比���,功能差異對比如下:
業(yè)內(nèi)首發(fā)廣播&組播
極大降低網(wǎng)絡(luò)負(fù)載
騰訊云是首個(gè)在私有網(wǎng)絡(luò)中加入廣播&組播功能的云服務(wù)商���,屬于業(yè)界創(chuàng)新。廣播&組播是傳統(tǒng)網(wǎng)絡(luò)中比較成熟的技術(shù)���,但在公有云行業(yè)����,這兩項(xiàng)特性之前沒有成熟的技術(shù)方案���。騰訊云將廣播&組播的使用靈活性與VPC的網(wǎng)絡(luò)隔離性結(jié)合起來��,形成了高安全性和可靠性的私有網(wǎng)絡(luò)內(nèi)的廣播&組播產(chǎn)品�����。
在此之前�,原來在云服務(wù)中提供的單播是一對一的通信方式,而廣播&組播是一對多的通信方式�,通過單點(diǎn)到多點(diǎn)的高效數(shù)據(jù)傳送,可以為企業(yè)極大節(jié)約網(wǎng)絡(luò)帶寬���、降低網(wǎng)絡(luò)負(fù)載�。具體而言�����,如果使用單播技術(shù)�,一個(gè)主機(jī)只能使用單播協(xié)議向n個(gè)主機(jī)發(fā)送相同的數(shù)據(jù),發(fā)送主機(jī)需要分別向n個(gè)主機(jī)發(fā)送���,共發(fā)送n次?��,F(xiàn)在,一個(gè)主機(jī)用廣播&組播協(xié)議向n個(gè)主機(jī)發(fā)送相同的數(shù)據(jù)時(shí)�����,只要發(fā)送1次��,數(shù)據(jù)由網(wǎng)絡(luò)中的路由器和交換機(jī)逐級進(jìn)行復(fù)制并發(fā)送給各個(gè)接收方�����,既節(jié)省服務(wù)器資源也節(jié)省網(wǎng)絡(luò)主干的帶寬資源��。
廣播&組播有效降低服務(wù)器網(wǎng)絡(luò)負(fù)載的特性��,尤其適用于金融和游戲行業(yè)的業(yè)務(wù)場景��。在金融狀態(tài)監(jiān)視中�����,如需獲取股票價(jià)格等實(shí)時(shí)數(shù)據(jù)�����,券商可通過騰訊云廣播技術(shù)��,對海量用戶組實(shí)時(shí)發(fā)送交易數(shù)據(jù)���,有效降低網(wǎng)絡(luò)負(fù)載���。而在游戲領(lǐng)域�����,多人游戲作為一種帶討論組能力的簡單分布式交互場景��,對帶寬和時(shí)延的要求都比較高�,通過騰訊云組播技術(shù)����,可快速實(shí)現(xiàn)網(wǎng)絡(luò)中點(diǎn)到多點(diǎn)的高效數(shù)據(jù)傳送。目前已有多家游戲和金融客戶在使用廣播&組播的服務(wù)���。
獨(dú)家提供專線NAT網(wǎng)關(guān)
重點(diǎn)解決專線互聯(lián)3大痛點(diǎn)
專線NAT網(wǎng)關(guān)是騰訊云首推的網(wǎng)絡(luò)地址轉(zhuǎn)換一站式解決方案�����,可很好的解決混合云網(wǎng)絡(luò)互通過程中出現(xiàn)的IP沖突���、內(nèi)網(wǎng)IP屏蔽、自定義對外服務(wù)端口等3大痛點(diǎn)問題�。
在實(shí)際業(yè)務(wù)中,金融客戶對專線互聯(lián)鏈路可用性要求高�,同時(shí)對接第三方個(gè)數(shù)多,經(jīng)常會(huì)出現(xiàn)IP地址沖突等問題�。如果使用傳統(tǒng)的方式,由于網(wǎng)絡(luò)地址轉(zhuǎn)換場景較多�,傳統(tǒng)物理路由器標(biāo)準(zhǔn)的SNAT、DNAT方式配置管理起來十分復(fù)雜�。對此,騰訊云自主研發(fā)的專線NAT網(wǎng)關(guān)對各種IP地址沖突場景進(jìn)行抽象總結(jié)����,采用了更加直觀的本端IP、對端IP一一映射可解決地址轉(zhuǎn)換管理的問題��。其中��,深圳前海大數(shù)金融服務(wù)有限公司通過騰訊云專線NAT網(wǎng)關(guān)����,輕松實(shí)現(xiàn)了專線內(nèi)外的地址轉(zhuǎn)換。
私有網(wǎng)絡(luò)相較于傳統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)���,靈活性和安全性更高����,正在成為越來越多金融��、政企等行業(yè)的主流選擇�����。在實(shí)際的應(yīng)用中,企業(yè)正在將騰訊云私有網(wǎng)絡(luò)廣泛應(yīng)用于安全隔離性高的業(yè)務(wù)����、托管多層web應(yīng)用、彈性混合云部署等業(yè)務(wù)場景���。
針對此次發(fā)布�����,InfoQ也對騰訊云技術(shù)團(tuán)隊(duì)進(jìn)行了專訪����,幫助大家進(jìn)一步了解三大私有網(wǎng)絡(luò)獨(dú)家功能的研發(fā)背景���、研發(fā)過程等相關(guān)內(nèi)容����。
InfoQ:可以談?wù)勅笏接芯W(wǎng)絡(luò)獨(dú)家功能的研發(fā)背景�����,基于什么樣的因素來研發(fā)的,研發(fā)過程是什么樣的�?
騰訊云技術(shù)團(tuán)隊(duì):
彈性網(wǎng)卡研發(fā)背景主要目標(biāo)群體是金融云客戶,金融云對網(wǎng)絡(luò)隔離性要求較高��,不同網(wǎng)絡(luò)的流量類型不同�,希望分布在不同網(wǎng)絡(luò)并配置不同的安全策略���,實(shí)現(xiàn)多網(wǎng)隔離�,這是我們做彈性網(wǎng)卡的初衷����。當(dāng)然彈性網(wǎng)卡帶來的網(wǎng)絡(luò)遷移能力也可以幫助客戶搭建基于Keepalived的高可用組件,或者在騰訊云服務(wù)器上部署自己的Docker服務(wù)�。彈性網(wǎng)卡的研發(fā)過程對平臺整體的管理流程帶來比較大的挑戰(zhàn),很多內(nèi)部的管理對象���、流程設(shè)計(jì)都有較大挑戰(zhàn)�。為了完整的實(shí)現(xiàn)功能����,我們將需求分解為多個(gè)迭代:a)后臺功能API支持, b)單網(wǎng)卡多IP����, c)綁定&解綁彈性網(wǎng)卡�����。后面還會(huì)對網(wǎng)卡的創(chuàng)建綁定流程進(jìn)行自動(dòng)化優(yōu)化���。
廣播和組播是傳統(tǒng)網(wǎng)絡(luò)中比較成熟的技術(shù),在心跳保持�����、消息訂閱等應(yīng)用領(lǐng)域相對單播有其特有的優(yōu)勢��。多個(gè)金融和游戲行業(yè)用戶向我們表達(dá)了在網(wǎng)絡(luò)基礎(chǔ)設(shè)施層面支持組播和廣播的需求���,便于應(yīng)用無縫的上云�。在公有云行業(yè)�����,這兩項(xiàng)特性之前沒有成熟的技術(shù)方案����,挑戰(zhàn)也是巨大的���。我們通過深入思考,將組播和廣播的使用靈活性與VPC的網(wǎng)絡(luò)隔離性結(jié)合起來��,形成了高安全性和可靠性的VPC內(nèi)組播和廣播產(chǎn)品��。在這個(gè)產(chǎn)品的研發(fā)過程中�����,我們探索了VPC產(chǎn)品架構(gòu)中不少全新的領(lǐng)域��,比如高效的報(bào)文多路復(fù)制網(wǎng)關(guān)�、與動(dòng)態(tài)網(wǎng)絡(luò)協(xié)議聯(lián)動(dòng)的路由自動(dòng)學(xué)習(xí)與更新等����。
專線NAT網(wǎng)關(guān)是隨著騰訊云發(fā)展金融行業(yè)云的關(guān)鍵需求之一。金融云客戶對專線互聯(lián)鏈路可用性要求高���,同時(shí)對接第三方個(gè)數(shù)多���,經(jīng)常會(huì)出現(xiàn)IP地址沖突等問題,專線NAT網(wǎng)關(guān)就是對各種IP地址沖突場景進(jìn)行抽象總結(jié)后研發(fā)出的產(chǎn)品。這個(gè)產(chǎn)品研發(fā)過程很長����,由于網(wǎng)絡(luò)地址轉(zhuǎn)換場景較多,按照傳統(tǒng)物理路由器標(biāo)準(zhǔn)的SNAT�����、DNAT方式配置管理起來十分復(fù)雜�。我們采用了更加直觀的本端IP、對端IP一一映射來解決地址轉(zhuǎn)換管理的問題�。底層集群上面我們采用了NFV集群化設(shè)計(jì)思路,各個(gè)租戶的專線NAT網(wǎng)關(guān)邏輯隔離�,不會(huì)因?yàn)榫W(wǎng)絡(luò)配置錯(cuò)誤而相互影響,減少了傳統(tǒng)路由器中配置地址轉(zhuǎn)換策略的網(wǎng)絡(luò)變更風(fēng)險(xiǎn)�����。
InfoQ:騰訊云在租戶間安全模型設(shè)置上�����,采用“完全”強(qiáng)制隔離還是可“配置”隔離��?
騰訊云技術(shù)團(tuán)隊(duì):
騰訊云的內(nèi)網(wǎng)環(huán)境分為基礎(chǔ)網(wǎng)絡(luò)和私有網(wǎng)絡(luò)兩種��,無論是基礎(chǔ)網(wǎng)絡(luò)還是私有網(wǎng)絡(luò),多租戶之間都采用了完全隔離的網(wǎng)絡(luò)安全策略�����,無論用戶如何配置安全組都會(huì)保證網(wǎng)絡(luò)間的安全隔離����。但在私有網(wǎng)絡(luò)環(huán)境,用戶可以使用對等連接和其他租戶的私有網(wǎng)絡(luò)VPC建立PEER����,通過合理的配置路由表、安全組和網(wǎng)絡(luò)ACL功能可以兼顧跨賬戶內(nèi)網(wǎng)互聯(lián)及網(wǎng)絡(luò)安全����。但是跨賬戶的對等互聯(lián)申請需要在對端賬號同意并配置路由策略后方可生效���。
InfoQ:彈性網(wǎng)卡支持綁定8個(gè)網(wǎng)卡���、30個(gè)內(nèi)網(wǎng)IP,實(shí)現(xiàn)三網(wǎng)隔離����,是不是就完全能保證各個(gè)租戶的安全性了��?
騰訊云技術(shù)團(tuán)隊(duì):
從技術(shù)角度來講�,公有云的云主機(jī)都是在母機(jī)上進(jìn)行的虛擬化���,虛擬網(wǎng)卡也是在母機(jī)中虛擬化出來的����。如果用戶突破了KVM虛擬化的安全屏障����,還是有可能入侵至綁定有彈性網(wǎng)卡的云服務(wù)器的。但是相比普通不支持彈性網(wǎng)卡的云主機(jī)來說����,每個(gè)網(wǎng)卡獨(dú)立的路由策略及ACL策略支持,讓綁定多網(wǎng)卡的云主機(jī)安全性有了很大提高����。
InfoQ:三大私有網(wǎng)絡(luò)獨(dú)家功能可以抵擋什么樣的黑客攻擊?抵擋多大的攻擊量��?
騰訊云技術(shù)團(tuán)隊(duì):
騰訊云大部分的防黑客功能都是在外網(wǎng)層面就進(jìn)行掃描和狙擊的�,很少有黑客可以直接滲透至騰訊云內(nèi)網(wǎng)展開黑客行為。在DDos攻擊能力防護(hù)上���,騰訊云大禹分布式DDos服務(wù)可以承接1Tbps以上的流量攻擊����。
微信掃一掃
